Это тема шифрования, которая меня уже некоторое время смущает. Насколько я понимаю LUKS, после того, как том LUKS открыт с парольной фразой и полученное устройство сопоставления устройств смонтировано, его можно будет читать и записывать до тех пор, пока он не будет закрыт / размонтирован, в то время как фактический формат на диске данных находится в зашифрованном виде.
Допустим, во время открытия и монтирования тома LUKS должно было произойти взлом сервера, в результате чего пароль учетной записи root был взломан и взломан SSH. Теперь у злоумышленника будет полный доступ для чтения / записи к устройству.
Сравните это с файловой системой шифрования, такой как eCryptfs. Если произойдет взлом учетной записи root, и у меня есть конфиденциальные данные, хранящиеся, скажем, в / home / secure, который зашифрован с помощью eCryptfs, злоумышленник не будет иметь к нему доступа, поскольку каталог / home / secure не просто "разблокирован" парольной фразой, как в случае с LUKS.
Я что-то здесь совершенно не понял? Я чувствую, что провел свое исследование на основе огромного количества информации о LUKS, но я не нашел обсуждения последствий взлома при установке тома LUKS. Спасибо за любые идеи и разъяснения!
Системы полного шифрования диска, такие как DM-Crypt, Bitlocker, Truecrypt, в первую очередь ориентированы на защиту от физические атаки в автономном режиме. С помощью надежного ключа / фразы они защищают ваш диск / компьютер от расшифровки после физического кражи. Они практически не обеспечивают защиты от атак на ОС. Если ваша ОС работает, а привилегированная учетная запись скомпрометирована, злоумышленник получит полный доступ к любой информации, к которой может получить доступ привилегированная учетная запись.
Инструменты шифрования файлов по запросу, такие как eCryptfs, обеспечат некоторую дополнительную защиту, но даже это не надежно. Если злоумышленник скомпрометировал вашу систему, и вы предоставите свой пароль для расшифровки файлов, он может получить ваш пароль. Если ваши файлы уже были открыты в незашифрованном виде, они смогут / могут получить к ним доступ.
Таким образом, вам необходимо понимать, что шифрование - это единственный уровень надежной защиты. Это не полное решение. Вы также должны укрепить и защитить операционную систему от вторжений. Вам следует предпринять шаги, чтобы попытаться расшифровать действительно важные данные за минимально возможное время. Безопасность должна быть послойной.
Вы можете быть сбиты с толку тем, как работает eCryptFS: каталог, содержащий зашифрованные файлы, монтируется в другой каталог - для этого процесса вам понадобится кодовая фраза. И в этом втором каталоге вы можете получить доступ к файлам в виде открытого текста.
LUKS работает на блочных устройствах, а eCryptFS - на файлах, но оба монтируются, и для этого вам понадобится кодовая фраза (или файл-пароль). Таким образом, в вашей модели угроз нет разницы в безопасности между LUKS / dm-crypt и eCryptFS.